Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias de ciberseguridad globales muestran que las vulnerabilidades a menudo se explotan como ataques de día cero. Ante un ataque tan impredecible, ¿cómo puede estar seguro de que tiene un nivel de protección adecuado y de si los marcos existentes son suficientes? 

Comprender la amenaza del día cero

Han pasado casi diez años desde que el conferenciante e investigador de ciberseguridad 'The Grugq' dijo“Dale a un hombre un día cero y tendrá acceso por un día; enséñale a phishing y tendrá acceso de por vida”.

Esta línea llegó a mitad de una década que había comenzado con la virus stuxnet y utilizaron múltiples vulnerabilidades de día cero. Esto generó temor a estas vulnerabilidades desconocidas, que los atacantes utilizan para un ataque único a la infraestructura o al software y para las cuales la preparación era aparentemente imposible.

Una vulnerabilidad de día cero es aquella para la que no hay ningún parche disponible y, a menudo, el proveedor de software no sabe que existe el defecto. Sin embargo, una vez que se utiliza, el defecto es conocido y se puede reparar, lo que le da al atacante una única oportunidad de explotarlo.

La evolución de los ataques de día cero

A medida que la sofisticación de los ataques se redujo a finales de la década de 2010 y el ransomware, los ataques de robo de credenciales y los intentos de phishing se utilizaron con mayor frecuencia, puede parecer que la era del día cero ha terminado.

Sin embargo, no es momento de descartar los ataques de día cero. Las estadísticas muestran que en 97 se explotaron 2023 vulnerabilidades de día cero, más del 50 por ciento más que en 2022. Era un momento propicio para que las agencias nacionales de ciberseguridad emitir una advertencia Sobre los días cero explotados.

En noviembre, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), junto con agencias de Australia, Canadá, Nueva Zelanda y Estados Unidos, compartió una lista de las 15 principales vulnerabilidades explotadas rutinariamente en 2023.

Por qué las vulnerabilidades de día cero siguen siendo importantes

En 2023, la mayoría de esas vulnerabilidades se explotaron inicialmente como días cero, un aumento significativo respecto de 2022, cuando menos de la mitad de las principales vulnerabilidades se explotaron de forma temprana.

Stefan Tanase, experto en inteligencia cibernética del CSIS, afirma que “los ataques de día cero ya no son sólo herramientas de espionaje; están alimentando el cibercrimen a gran escala”. Cita la explotación de los ataques de día cero en Soluciones de transferencia de archivos de Cleo por la banda de ransomware Clop para violar redes corporativas y robar datos como uno de los ejemplos más recientes.

¿Qué pueden hacer las organizaciones para protegerse contra los ataques de día cero?

Entonces, sabemos cuál es el problema, ¿cómo lo resolvemos? El aviso del NCSC recomendó enfáticamente a los defensores de las redes empresariales que mantengan la vigilancia en sus procesos de gestión de vulnerabilidades, lo que incluye aplicar todas las actualizaciones de seguridad de inmediato y asegurarse de haber identificado todos los activos en sus instalaciones.

Ollie Whitehouse, director de tecnología del NCSC, dijo que para reducir el riesgo de vulneración, las organizaciones deberían “estar a la vanguardia” aplicando parches rápidamente, insistiendo en productos seguros por diseño y estando alertas con la gestión de vulnerabilidades.

Por lo tanto, la defensa contra un ataque en el que se utiliza un día cero requiere un marco de gobernanza confiable que combine esos factores de protección. Si confía en su postura de gestión de riesgos, ¿puede confiar en sobrevivir a un ataque de ese tipo?

El papel de la norma ISO 27001 en la lucha contra los riesgos de día cero

La norma ISO 27001 ofrece la oportunidad de garantizar su nivel de seguridad y resiliencia. El Anexo A. 12.6, “Gestión de vulnerabilidades técnicas”, establece que la información sobre las vulnerabilidades tecnológicas de los sistemas de información utilizados debe obtenerse con prontitud para evaluar la exposición de la organización a tales vulnerabilidades. La empresa también debe tomar medidas para mitigar ese riesgo.

Si bien la norma ISO 27001 no puede predecir el uso de vulnerabilidades de día cero ni prevenir un ataque que las utilice, Tanase afirma que su enfoque integral de la gestión de riesgos y la preparación en materia de seguridad equipa a las organizaciones para resistir mejor los desafíos que plantean estas amenazas desconocidas.

Cómo la norma ISO 27001 ayuda a desarrollar la ciberresiliencia

La norma ISO 27001 le proporciona las bases para la gestión de riesgos y los procesos de seguridad que deberían prepararlo para los ataques más graves. Andrew Rose, exdirector de seguridad de la información y analista y actual director de seguridad de SoSafe, ha implementado la norma 27001 en tres organizaciones y afirma: "No garantiza que esté seguro, pero sí garantiza que tenga los procesos adecuados para garantizar su seguridad".

Rose lo llama “un motor de mejora continua” y explica que funciona en un bucle en el que se buscan vulnerabilidades, se recopila información sobre amenazas, se la incluye en un registro de riesgos y se utiliza ese registro para crear un plan de mejora de la seguridad. Luego, se lo comunica a los ejecutivos y se toman medidas para solucionar los problemas o aceptar los riesgos.

Afirma: “Incorpora toda la buena gobernanza que se necesita para estar seguro o para que haya supervisión, toda la evaluación y el análisis de riesgos. Todas esas cosas están en su lugar, por lo que es un modelo excelente para construir”.

Seguir las pautas de la norma ISO 27001 y trabajar con un auditor como ISMS para garantizar que se aborden las brechas y que sus procesos sean sólidos es la mejor manera de garantizar que esté mejor preparado.

Cómo preparar su organización para el próximo ataque de día cero

Christian Toon, fundador y estratega principal de seguridad de Alvearium Associates, dijo que la norma ISO 27001 es un marco para construir su sistema de gestión de seguridad, utilizándolo como guía.

“Puedes alinearte con el estándar y elegir lo que quieres hacer”, dijo. “Se trata de definir lo que es correcto para tu negocio dentro de ese estándar”.

¿Existe algún elemento de cumplimiento de la norma ISO 27001 que pueda ayudar a hacer frente a los ataques de día cero? Toon dice que es cuestión de suerte cuando se trata de defenderse de un ataque de día cero explotado. Sin embargo, uno de los pasos tiene que implicar que la organización respalde la iniciativa de cumplimiento.

Dice que si una empresa nunca ha tenido grandes problemas cibernéticos en el pasado y "los mayores problemas que probablemente haya tenido son un par de apropiaciones de cuentas", entonces prepararse para un elemento 'importante', como parchar un día cero, hará que la empresa se dé cuenta de que necesita hacer más.

Toon afirma que esto lleva a las empresas a invertir más en cumplimiento y resiliencia, y marcos como la norma ISO 27001 son parte de las "organizaciones que asumen el riesgo". "Están bastante felices de verlo como algo de cumplimiento de bajo nivel", dice, y esto se traduce en inversiones.

Tanase dijo que parte de la norma ISO 27001 requiere que las organizaciones realicen evaluaciones de riesgos periódicas, incluida la identificación de vulnerabilidades (incluso aquellas desconocidas o emergentes) e implementen controles para reducir la exposición.

“La norma exige planes sólidos de respuesta a incidentes y de continuidad empresarial”, afirmó. “Estos procesos garantizan que, si se explota una vulnerabilidad de día cero, la organización pueda responder rápidamente, contener el ataque y minimizar los daños”.

El marco de la norma ISO 27001 incluye consejos para garantizar que una empresa sea proactiva. La mejor medida a tomar es estar preparada para hacer frente a un incidente, saber qué software se está ejecutando y dónde, y tener un control firme de la gobernanza.